81번 - ITSEC 보안요구사항
- 미국의 TCSEC을 참고하여 유럽에서 만듬
- 시스템 분류에 따라 적용 기준을 달리하지 않는다. 단일 기준으로 통일
- 보안 요구사항, 보증 요구사항으로 구분하여 평가
- 보안 요구사항 8가지 : 식별 및 인증(Identification and Authentication), 접근통제(Access Control), 책임성(Accountability), 감사(Audit), 객체 재사용(Object Reuse), 정확성(Accuracy), 서비스 신뢰성(Reliability of Service), 데이터 교환(Data Exchange)
- 보증 요구사항 2가지 : 효용성(Effectiveness), 정확성(Correctness)
82번 - BCP 수립절차
업무연속성 계획수립(BCP)
업무연속성 계획을 수립하는 데에는 5단계의 방법론이 존재한다.
1. 프로젝트 범위 설정 및 기획
- 프로젝트 계획을 수립하는 단계이다.
- 명확한 범위, 조직, 시간, 인원 등을 정의
2. 사업영향평가(BIA)
BIA라고 하며, 각 사업단위가 재정적 손실의 영향도 파악. 문서작성하는 단계다.
BIA는 총 3가지 취지를 갖고 있다.
- 핵심우선순위결정 :
- 중단시간 선정
- 자원요구사항
BIA는 또한 4가지 형식을 가진다.
- 필요한 평가자료 수립
- 취약성 평가 수행
- 편집된 정보분석
- 문서화, 권고문 작성
3. 복구전략개발
BIA 단계에서 수집된 정보로 복구 자원 추정하여 비상계획을 위한 전략을 세운다.
총 2가지 단계로 이루어진다.
- 지속전략 정의
- 지속전략 문서화
4. 복구계획수립
사업을 계속해서 하기위한 복구계획 수립단계이다. 문서화가 반드시 필요함.
5. 프로젝트 수행 및 테스트 유지보수
유지보수 활동현황을 포함, 테스트 및 유지관리 절차를 수행.
83번 - 정량적 위험분석 기법
정량적 위험분석 기법 : 과거자료분석법, 수학공식접근법, 확률 분포법, 점수법
정성적 위험분석 기법 : 델파이법, 시나리오법, 순위 결정법, 질문지법, 브레인스토밍, 스토리보딩
84번 - 정보보호 목표 수립 시 고려사항
- 사용의 용이성이 떨어지더라도 시스템의 안전을 우선적으로 고려해야 한다.
- 손실비용에 대해 신중히 결정해야 한다.
- 조직의 특성(규모, 역할, 정보시스템 활용 특성)을 고려해야 한다.
- 기존의 상위 정책이나 규칙, 법령 등과 부합되어야 한다.
- 계층 구조를 갖는 경우 상부 조직의 정책을 준수하면서, 자신의 환경에 맞도록 세분화하여야 한다.
85번 - 제8조(주요정보통신기반시설의 지정 등)
①중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
2. 제1호의 규정에 의한 기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
3. 다른 정보통신기반시설과의 상호연계성
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생가능성 또는 그 복구의 용이성
②중앙행정기관의 장은 제1항의 규정에 의한 지정 여부를 결정하기 위하여 필요한 자료의 제출을 해당 관리기관에 요구할 수 있다.
③관계중앙행정기관의 장은 관리기관이 해당 업무를 폐지·정지 또는 변경하는 경우에는 직권 또는 해당 관리기관의 신청에 의하여 주요정보통신기반시설의 지정을 취소할 수 있다.
④지방자치단체의 장이 관리·감독하는 기관의 정보통신기반시설에 대하여는 행정안전부장관이 지방자치단체의 장과 협의하여 주요정보통신기반시설로 지정하거나 그 지정을 취소할 수 있다. <개정 2008. 2. 29., 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.>
⑤중앙행정기관의 장이 제1항 및 제3항의 규정에 의하여 지정 또는 지정 취소를 하고자 하는 경우에는 위원회의 심의를 받아야 한다. 이 경우 위원회는 제1항 및 제3항의 규정에 의하여 지정 또는 지정취소의 대상이 되는 관리기관의 장을 위원회에 출석하게 하여 그 의견을 들을 수 있다.
⑥중앙행정기관의 장은 제1항 및 제3항의 규정에 의하여 주요정보통신기반시설을 지정 또는 지정 취소한 때에는 이를 고시하여야 한다. 다만, 국가안전보장을 위하여 필요한 경우에는 위원회의 심의를 받아 이를 고시하지 아니할 수 있다.
⑦주요정보통신기반시설의 지정 및 지정취소 등에 관하여 필요한 사항은 이를 대통령령으로 정한다.
86번 - BIA 수행 시 고려사항
- 주요 업무 프로세스의 식별
- 재해 유형 식별 및 재해 발생 가능성과 발생시 업무 중단의 지속시간 평가
- 업무 프로세스별의 중요도 및 재해로 인한 업무 중단 시 손실 평가
- 업무 프로세스별의 우선순위 및 복구대상 범위의 설정
- 재해 발생 시 업무 프로세스의 복원 시간이나 우선순위 결정
-복구목표시간(RTO:Recovery Time Objective)
-복구목표시점(RPO:Recovery Point Objective)
87번 - 정보보호 관리체계 인증의 정보보호 대첵 통제항목
통제분야 |
주요내용 |
정보보호 정책 |
정책의 승인 및 공표, 정책의 체계, 정책의 유지관리 |
정보보호 조직 |
조직의 체계, 책임과 역할 |
외부자 보안 |
보안요구사항 정의, 외부자 보안 이행 |
정보자산 분류 |
정보자산 식별 및 책임, 정보자산의 분류 및 취급 |
정보보호 교육 |
교육 프로그램 수립, 교육 시행 및 평가 |
인적 보안 |
정보보호 책임, 인사규정 |
물리적 보안 |
물리적 보호구역, 시스템 보호, 사무실 보안 |
시스템 개발 보안 |
분석 및 설계 보안관리, 구현 및 이관 보안, 외주개발 보안 |
암호 통제 |
암호정책, 암호키 관리 |
접근 통제 |
접근통제 정책, 접근권한 관리, 사용자 인증 및 식별, 접근통제 영역 |
운영보안 |
운영절차 및 변경관리, 시스템 및 서비스 운영보안, 전자거래 및 정보전송 보안 , 매체 보안, 악성코드 관리, 로그관리 및 모니터링 |
침해사고 관리 |
절차 및 체계, 대응 및 복구, 사후관리 |
IT 재해복구 |
체계구축, 대책구현 |
88번 - 정보보호 관리 과정
http://blog.naver.com/innerbus_co/220588191994
89번 - 개인정보보호법
90번 - 위험분석기법
91번 - 개인 식별정보
http://irb.or.kr/UserMenu06/PreservationInfomationManagement.aspx
92번 - 비즈니스 연속성 계획 (BCP)
BCP란? Business Continuity Planning
- 재난 발생시 비지니스 연속성을 유지하기 위한 방법론으로 지난해 9·11 미국 테러 사건 이후 급부상하고 있는 개념
- 재해, 재난으로 정상적인 운용이 어려운 데이터 백업과 같은 단순복구 뿐 아니라 고객 서비스 지속성 보장, 핵심 업무기능을 지속하는 환경을 조성해 기업가치를 최대화하는 것
- 기업(기관)이 운용하고 있는 시스템에 대한 평가와 비즈니스 프로세스를 파악, 재해에 따른 업무 손실을 최소화하기 위한 방법을 구축하는 작업이 필요
93번 - 정보통신서비스 제공자의 책임과 의무
http://www.easylaw.go.kr/CSP/CnpClsMainBtr.laf?popMenu=ov&csmSeq=615&ccfNo=3&cciNo=2&cnpClsNo=3
94번 - CC 인증
https://www.nexg.net/cccommon-criteria-%EC%9D%B8%EC%A6%9D-faq/
95번 - 공인인증서의 발급
제15조(공인인증서의 발급)
①공인인증기관은 공인인증서를 발급받고자 하는 자에게 공인인증서를 발급한다. 이 경우 공인인증기관은 공인인증서를 발급받고자 하는 자의 신원을 확인하여야 한다. <개정 2001. 12. 31.>
②공인인증기관이 발급하는 공인인증서에는 다음 각호의 사항이 포함되어야 한다. <개정 2001. 12. 31.>
1. 가입자의 이름(법인의 경우에는 명칭을 말한다)
2. 가입자의 전자서명검증정보
3. 가입자와 공인인증기관이 이용하는 전자서명 방식
4. 공인인증서의 일련번호
5. 공인인증서의 유효기간
6. 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
7. 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항
8. 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격등의 표시를 요청한 경우 이에 관한 사항
9. 공인인증서임을 나타내는 표시
③ 삭제 <2001. 12. 31.>
④공인인증기관은 공인인증서를 발급받고자 하는 자의 신청이 있는 경우에는 공인인증서의 이용범위 또는 용도를 제한하는 공인인증서를 발급할 수 있다. <개정 2001. 12. 31.>
⑤공인인증기관은 공인인증서의 이용범위 및 용도, 이용된 기술의 안전성과 신뢰성 등을 고려하여 공인인증서의 유효기간을 적정하게 정하여야 한다. <개정 2001. 12. 31.>
⑥공인인증서 발급에 따른 신원확인 절차 및 방법 등에 관하여 필요한 사항은 과학기술정보통신부령으로 정한다. <신설 2001. 12. 31., 2008. 2. 29., 2013. 3. 23., 2017. 7. 26.>
[제목개정 2001. 12. 31.]
96번 - 정보보호정책서에 포함되어야 할 내용
생략
97번 - 개인정보위원회의 주요 역할
제8조(보호위원회의 기능 등)
① 보호위원회는 다음 각 호의 사항을 심의·의결한다. <개정 2015. 7. 24.>
1. 제8조의2에 따른 개인정보 침해요인 평가에 관한 사항
1의2. 제9조에 따른 기본계획 및 제10조에 따른 시행계획
2. 개인정보 보호와 관련된 정책, 제도 및 법령의 개선에 관한 사항
3. 개인정보의 처리에 관한 공공기관 간의 의견조정에 관한 사항
4. 개인정보 보호에 관한 법령의 해석·운용에 관한 사항
5. 제18조제2항제5호에 따른 개인정보의 이용·제공에 관한 사항
6. 제33조제3항에 따른 영향평가 결과에 관한 사항
7. 제61조제1항에 따른 의견제시에 관한 사항
8. 제64조제4항에 따른 조치의 권고에 관한 사항
9. 제66조에 따른 처리 결과의 공표에 관한 사항
10. 제67조제1항에 따른 연차보고서의 작성·제출에 관한 사항
11. 개인정보 보호와 관련하여 대통령, 보호위원회의 위원장 또는 위원 2명 이상이 회의에 부치는 사항
12. 그 밖에 이 법 또는 다른 법령에 따라 보호위원회가 심의·의결하는 사항
② 보호위원회는 제1항 각 호의 사항을 심의·의결하기 위하여 필요한 경우 다음 각 호의 조치를 할 수 있다. <개정 2015. 7. 24.>
1. 관계 공무원, 개인정보 보호에 관한 전문 지식이 있는 사람이나 시민사회단체 및 관련 사업자로부터의 의견 청취
2. 관계 기관 등에 대한 자료제출이나 사실조회 요구
③ 제2항제2호에 따른 요구를 받은 관계 기관 등은 특별한 사정이 없으면 이에 응하여야 한다. <신설 2015. 7. 24.>
④ 보호위원회는 제1항제2호의 사항을 심의·의결한 경우에는 관계 기관에 그 개선을 권고할 수 있다. <신설 2015. 7. 24.>
⑤ 보호위원회는 제4항에 따른 권고 내용의 이행 여부를 점검할 수 있다. <신설 2015. 7. 24.>
98번 - 업무 연속성 계획 절차
계획 -> 분석 -> 설계 -> 실행 -> 유지보수
99번 - 개인정보처리자가 고유식별번호에 필수적으로 암호화해야 하는 대상이 아닌것은 전화번호이다.
100번 - 개인정보 영향평가
제33조(개인정보 영향평가)
① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 "영향평가"라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 "평가기관"이라 한다) 중에서 의뢰하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.>
② 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
③ 행정안전부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보호위원회의 심의·의결을 거쳐 의견을 제시할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.>
④ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
⑤ 행정안전부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발·보급 등 필요한 조치를 마련하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.>
⑥ 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법·절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑦ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
⑧ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.
* 이 포스팅은 이기적 정보보안기사 필기 기출문제집을 기반으로 작성되었습니다.
'Certification > 정보보안기사' 카테고리의 다른 글
| 정보보안기사 필기 10회 기출문제 오답노트 정리 - 21번~40번 (0) | 2018.09.06 |
|---|---|
| 정보보안기사 필기 10회 기출문제 오답노트 정리 - 1번~20번 (0) | 2018.09.06 |
| 정보보안기사 필기 9회 기출문제 오답노트 정리 - 61번~80번 (0) | 2018.09.06 |
| 정보보안기사 필기 9회 기출문제 오답노트 정리 - 41번~60번 (0) | 2018.09.06 |
| 정보보안기사 필기 9회 기출문제 오답노트 정리 - 21번~40번 (0) | 2018.09.06 |